思科统一无线网络目录1 .无线局域网基础 31.1 无线局域网和有线局域网的比较 32．无线网络架构及设计 32.1 WLAN 安全 32.1.2 基于EAP 的安全方法 42.1.3 WPA 42.1.4 WPA2 52.2 AP 关联和漫游 52.2.1 漫游过程 52.3 蜂窝布局和信道的使用 63 .思科统一无线网络 8 3.1 WLC 的功能 83.2 轻量级AP 的工作原理 93.3 Cisco 统一无线网络中的数据流模式 103.4 轻量级AP 关联和漫游 113.5.1 控制器内漫游 123.5.2 控制器间漫游 133.5.3 移动组 171 无线局域网基础1.1 无线局域网和有线局域网的比较从最本质上说，交换型网络需要电缆，而无线网络不需要。

这看似显得可笑，却指出了它们的物理层之间的不同。

传统以太网是由IEEE802.3 标准定义的。

每条以太网连接都必须在严格的条件下运行，尤其是对物理链路本身来说。

例如，链路状态、链路速度和双工模式都必须符合标准的规定。

无线局域网使用类似的协议，但由IEEE 802.11 标准定义的。

有线以太网设备必须采用载波侦听多路访问/冲突检测(CSMA/CD) 方法来传输和接收以太网帧。

在共享的以太网网段上，PC 以半双工模式工作，每台PC 都可以先“发言”，然后侦听是否其他正在发言的设备发生冲突。

整个检测冲突的过程是基于有线连接的最大长度的，从网段的一端发送到另一端检测到冲突之间的最大延迟是确定的。

在全双工或交换型以太网链路上，不存在冲突或争取带宽的问题，但它们必须遵循相同的规范。

例如，在全双工链路上，必须在预期的时间内发送或接收以太网帧，这要求全双工双绞线的最大长度与半双工链路相同。

虽然无线局域网也基于一组严格的标准，但无线介质本身难以控制。

一般而言，当PC 连接到有线网络时，与其共享网络连接的其他设备的数量是已知的；而当PC 使用无线网络时，使用的传输介质为空气；由于接入层没有电缆和插口，因此无法限制其他最终用户使用相同频率无线电波。

因此，无线局域网实际上是一种共享型网络，且争用相同频率电波的主机数量不是固定的。

在无线局域网中，冲突犹如家常便饭，因为每条无线连接都是半双工模式的。

IEEE 802.11 WLAN 总是半双工模式的，因为传输站和接收站使用的频率相同。

双方不能同时传输，否则将发生冲突。

要实现全双工模式，必须在一个频率进行传输，在另一个频率进行接收，这类似于全双工以太网链路的工作原理。

虽然这完全可行，但802.11 标准不允许采用全双工模式。

2. 无线网络架构及设计2.1 WLAN 安全作为基本服务集（BSS）的中央枢纽，AP 实际上为其覆盖范围内的客户端管理WLAN 。

别忘了，无线客户端发送的数据流都必须经过AP，才能到达当前BSS 内的其他WLAN 客户端或位于其他地方的有线客户端。

客户端建立其无线连接时，必须找到可到达并提供成员资格的AP。

客户端必须按如下顺序协商成员资格和安全措施：（1）使用与AP 匹配的SSID；（2）向AP 认证；（3）使用一种分组加密方法确保数据的隐秘性，这步是可选的；（4）使用一种分组认证方法确保数据的完整性，这步也是可选的；（5）建立同AP 的关联。

SSID 字符串用于将客户端同合适的WLAN（以及有线网络中的VLAN ）匹配。

如果客户端的SSID 与某个AP 使用的SSID 相同，它便可以开始同该AP 通信。

SSID 并不是一种安全措施，而只是用于将WLAN 划分成逻辑用户组。

开放认证是默认设置，无法对客户端进行筛选。

任何客户端都可以加入网络，而无需提供任何凭证。

实际上，SSID 是需要提供的唯一凭证。

虽然这使得认证工作更容易，但几乎无法控制对WLAN 的访问。

另外，开放认证没有提供对通过WLAN 传输得数据进行加密的措施。

预共享密钥认证使用一个存储在客户端和AP 中的无线等效协议（Wireless Equivalence Protocol，WEP）密钥。

客户端要加入WLAN 时，AP 向它发送一个挑战短语；客户端必须使用挑战短语和WEP 密钥计算出一个可公开共享的值，并将其发回给AP。

AP 使用自己的WEP 密钥计算一个类似的值，如果这两个值相同，客户端便通过了认证。

使用预共享密钥（常被称为静态WEP 密钥）认证时，WEP 密钥也被用做加密密钥。

通过WLAN 发送每个分组时，将把分组的内容和WEP 密钥提供给加密进程。

远端收到分组后，将使用相同的WEP 密钥对其进行解密。

预共享密钥认证比开放认证安全，但存在两个缺点：■可扩展性不佳，因为必须在每台设备上配置一个很长的密钥字符串；■不是很安全。

2.1常用的安全方法有：2.1.1基于EAP 的安全方法幸运的是，无线安全已发展到使用其他更健壮的方法。

AP 可使用各种利用外部认证和授权服务器及其用户数据库的认证方法。

可扩展的认证协议（Extensible Authentication Protocol，EAP ）是众多无线安全方法的基础，这些方法的缩略语的末尾都是一致的，如EAP、PEAP 、LEAP。

EAP 是在RFC 3748 中定义的，最初用于处理PPP 用户认证。

鉴于其可扩展性，它非常适合用于各种安全环境。

RFC 4017 定义了用于WLAN 中的EAP 变种。

EAP 最初用于PPP 通信，而不是无线认证。

IEEE 802.1x 协议可用于基于端口的认证，即对认证用户是否能够使用特定的交换机端口。

通过8021.x ，甚至可以在用户获得网络连接性之前，在第2 层对其进行认证。

WLAN 可使用802.1x 在第2 层实现EAP。

在无线局域网中，可使用下述安全方法：LEAP、PEAP、EAP-TLS 和EAP-FAST。

由于存在众多的安全方法，使得难以记住它们的功能和强项。

您只需记住这样一点，即它们都是基于EAP 的，但使用不同的凭证来认证无线用户。

有些基于EAP 方法添加了其他安全功能，从而超越了认证的范畴，在接下来的几小节讨论各种方法时，您将明白这一点。

2.1.2 WPAIEEE 802.11i 标准致力于无线安全的各个方面，甚至超越了客户端认证和使用WEP 密钥确保数据隐秘性的范畴。

在制定IEEE802.11i 标准期间，无线局域网厂商已走在前头，在尽可能多地实现该标准指定的功能，因此Wi-Fi 联盟根据802.11 草案的一些内容开发了Wi-Fi 受保护的接入（Wi-Fi Protected Access，WPA）.WPA 提供了下述无线局域网安全措施：■使用802.1x 或预共享密钥进行客户端认证；■客户端和服务器之间的双向认证；■使用临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP ）确保数据隐秘性；■使用消息完整性校验（Message Integrity Check，MIC ）确保数据完整性。

TKIP 利用无线客户端和AP 嵌入的现有WEP 加密硬件。

WEP 加密过程与以前相同，但WEP 密钥的生成频率更高，而不是像使用基于EAP 的认证方法时那样在每次重新认证是生成WEP 密钥。

实际上，TKLP 为每个分组生成新的WEP 密钥。

客户适用于基于EAP 的方法对客户端进行认证（或重新认证）时，将生成一个初始密钥。

该密钥是通过混合发送方（客户端或AP）的MAC 地址和一个序列号生成的。

发送每个分组时，都将更新该WEP 密钥。

客户端被要求重新认证时，将生成一个全新的WEP 密钥，然后在发送每个分组时更新该密钥。

对于通过无线网络发送的每个分组，将使用MIC 进程来为其生成一个“指纹”。

如果指纹是在分组发送前生成的，则收到分组后，该指纹将同分组的内容匹配。

为何要给分组加上指纹呢？分组在空中传输时，可能被拦截、修改并重新发送，这是绝对不能允许发生的。

通过添加指纹，可确保数据在网络中传输时的完整性。

2.1.3 WPA2Wi-Fi 受保护的接入第2 版（WPA2 ）是基于最终的802.11i 标准的，在安全措施方面，它在WPA 的基础上做了多方面的改进。

使用WPA 和其他基于EAP 的认证方法时，无线客户端必须向要访问的每个AP 进行认证。

如果客户端从一个AP 移到另一个AP，将需要不断进行认证，这很麻烦。

WPA2 使用主动密钥缓存（proactive key caching，PKC ）解决了这个问题，客户端只需认证一次－向它遇到的第一个AP 认证。

只要客户端访问的其他AP 都支持WPA2 ，且被配置为属于一个逻辑组，就将自动传递缓存的认证信息和密钥。

2.3 AP 关联和漫游无线客户端同AP 关联后，所有前往和来自客户端的数据都必须经过该AP。

客户端通过向AP 发送关联请求消息来建立关联，如果客户端与WLAN 兼容，即有正确的SSID 、支持相同的数据率并通过了认证，AP 将使用关联应答进行响应。

只要客户端在当前AP 的覆盖范围内，其同该AP 的关联就将得到维持。

请看图25 所示的AP 蜂窝，只要客户端在点A 和B 之间，就能够以可接受的质量接收AP 的信号；客户端走出该蜂窝（到达图中的C 点）后，信号强度将低于可接受的阈值，导致客户端失去关联。

可以通过添加AP 让客户端能够在更大的区域内移动。

然而，必须仔细地部署AP，让客户端能够在AP 之间漫游。

漫游指的是从一个AP 将关联切换到另一个AP 关联，让无线连接在客户端移动时能够保持的过程。

2.2.漫游过程要让客户端能够漫游，首先必须满足的条件是什么？首先，必须将相邻AP 配置为使用互不重叠的不同信道。

例如，遵循802.11b 或802.11g 的，AP 只能使用信道1、6 和11，同时使用信道1 的AP 不能与其他使用信道1 的AP 相邻，这确保客户端在接收附近AP 的信号时不受来自其他AP 的信号干扰。

漫游过程完全是由无线客户端驱动程序（而不是AP）驱动的，客户端可采取两种方法来确定何时进行漫游：■客户端可以在其需要漫游前主动搜索其他相邻AP；■客户端可以在需要漫游时才搜索相邻AP。

客户端确定应该漫游后，它首先必须搜索潜在的新AP，这是通过扫描其他信道以找到其他活动AP 实现的。

客户端采取两种方法来执行扫描过程：■被动扫描：客户端花时间来扫描其他信道，但只侦听来自可用AP 的802.11 信标。

■主动扫描：客户端花时间来扫描其他信道，同时发送802.11 探针请求帧来查询可用AP。

客户端采用被动扫描时，只需等待接收信标即可，因此非常适合用于低功率的嵌入式无线客户端。

主动扫描让客户端具有控制权，因为必须发送探针并等待接收探针应答。

通常，主动扫描比被动扫描可实现更有效的漫游，因为可以根据需要查询和识别AP。